
Elegir un gestor de credenciales para una empresa europea en 2026 es tanto una decisión de cumplimiento normativo como una decisión de producto.
El abuso de credenciales sigue siendo una de las vías más comunes de acceso a entornos corporativos. El informe Data Breach Investigations Report 2026 de Verizon confirma que el 50% de las víctimas de ransomware experimentaron un evento relacionado con credenciales o infostealers en los 95 días previos al ataque.
Al mismo tiempo, la aplicación del RGPD tiene consecuencias reales. En abril de 2026, el Garante italiano multó a la consultora Ambrosetti con 85.000 € por almacenar contraseñas en texto plano y usar hash MD5, citando explícitamente el Artículo 32 del RGPD como fundamento. NIS2 ya no es un borrador: 23 de los 27 estados miembros de la UE lo han transpuesto a la legislación nacional, según el rastreador de transposición de ECSO.
Al evaluar soluciones como Passwork y 1Password, los factores más allá de las funcionalidades empiezan a importar. Este artículo compara ambos productos desde esa perspectiva: jurisdicción, soberanía de datos, flexibilidad de despliegue, preparación para auditorías, cumplimiento a largo plazo con RGPD y NIS2, y coste total de propiedad.
Puntos clave
- Ambas plataformas proporcionan gestión de contraseñas empresarial, pero utilizan enfoques arquitectónicos diferentes. 1Password es un servicio basado en la nube construido en torno a su modelo de seguridad Secret Key, mientras que Passwork ofrece despliegue autoalojado con cifrado AES-256 del lado del cliente.
- El modelo de despliegue determina quién controla la infraestructura y quién es responsable de ella. Con un despliegue autoalojado, su organización gestiona el entorno. Con un servicio SaaS, el proveedor opera la infraestructura y permanece sujeto a las leyes de su propia jurisdicción.
- La residencia de datos y la soberanía de datos abordan aspectos diferentes de la gobernanza de datos. Elegir un centro de datos en la UE determina dónde se almacenan sus datos. Por sí solo, no determina qué leyes de qué país pueden aplicarse al proveedor del servicio.
- El RGPD y NIS2 se centran en cómo las organizaciones protegen y gestionan el acceso a las credenciales. Las organizaciones deben poder demostrar controles técnicos apropiados, gestión de accesos, registro de actividad y evidencia de auditoría.
- Con 100 usuarios, Passwork licencia estándar cuesta 3.600 €/año frente a ~9.588 $/año de 1Password Business. Passwork tiene un precio de 3 €/usuario/mes (licencia estándar) o 4,5 €/usuario/mes (licencia avanzada). 1Password Business cuesta 7,99 $/usuario/mes. Los niveles Enterprise tienen precios personalizados en ambos casos.
- Elija 1Password si su equipo prioriza la comodidad operativa y una experiencia en la nube pulida sobre la soberanía de datos estricta. Elija Passwork si su organización está sujeta al RGPD, NIS2 o DORA y necesita demostrar que los datos de credenciales nunca salen de su propia infraestructura.
El campo de batalla del cumplimiento: Residencia de datos vs. soberanía de datos
Las organizaciones europeas que evalúan gestores de contraseñas necesitan distinguir entre residencia de datos y soberanía de datos. La residencia de datos define dónde se almacenan los datos. La soberanía de datos define qué sistema legal los gobierna. Una solución basada en la nube puede ofrecer residencia de datos en la UE mientras sigue estando sujeta a jurisdicción fuera de la UE. Las soluciones autoalojadas eliminan esa brecha al mantener los datos de credenciales completamente dentro de la propia infraestructura de la organización, bajo un marco legal único y predecible.
1Password ofrece residencia de datos en la UE: los clientes pueden seleccionar una región de alojamiento europea, y los datos de la bóveda residen en servidores dentro de la UE. Sin embargo, esto por sí solo no resuelve todas las preocupaciones jurisdiccionales para organizaciones con requisitos estrictos de soberanía.
Qué significa el acceso transfronterizo a datos para los proveedores en la nube
Cuando un gestor de credenciales basado en la nube es operado por una empresa fuera de la UE, la pregunta clave de cumplimiento no es dónde están ubicados los servidores, sino qué sistema legal puede obligar a esa empresa a divulgar datos.
Cualquier proveedor fuera de la UE puede recibir solicitudes legales de las autoridades de su jurisdicción de origen. La ley aplicable depende de dónde está constituido el proveedor, no de dónde se almacenan los datos.
La CLOUD Act de EE. UU. (2018) es el ejemplo más conocido. Permite a las fuerzas del orden estadounidenses exigir a los proveedores constituidos en EE. UU. que entreguen datos almacenados en cualquier parte del mundo.
1Password no es una empresa estadounidense. AgileBits Inc. está constituida en Canadá, por lo que la CLOUD Act no se aplica de la misma manera que a los proveedores estadounidenses. Sin embargo, Canadá participa en marcos de cooperación internacional de aplicación de la ley como Five Eyes, lo que significa que las solicitudes legales transfronterizas siguen siendo una consideración.
El Artículo 48 del RGPD establece que una orden judicial extranjera por sí sola no es una base legal válida para transferir datos personales desde la UE. Esa restricción se aplica principalmente a su organización como responsable del tratamiento de datos.
Como cualquier gestor de credenciales basado en la nube operado por una entidad fuera de la UE, 1Password introduce una capa de complejidad jurisdiccional que un despliegue autoalojado no tiene.
Cómo el despliegue en las instalaciones cierra la brecha
El modelo autoalojado de Passwork significa que ningún tercero tiene sus datos de credenciales. Desplegado en su propia infraestructura dentro de la jurisdicción de la UE, el contenido de las bóvedas nunca abandona su entorno. Ninguna empresa externa puede recibir una orden de un gobierno extranjero para datos a los que no tiene acceso. Las leyes que gobiernan sus datos son las leyes de la jurisdicción donde se encuentran sus servidores.
Passwork está disponible como solución autoalojada y en una nube soberana de la UE, ofreciéndole control total sobre sus datos e infraestructura. Explore las opciones de despliegue — passwork.pro
Comparativa de funcionalidades: Passwork vs 1Password
Passwork y 1Password en el nivel Business comparten una base común: cifrado AES-256, RBAC, SSO y herramientas para desarrolladores. Las diferencias emergen a nivel arquitectónico. El despliegue autoalojado de Passwork otorga a la organización control directo sobre las claves de cifrado, los registros de auditoría y el perímetro de administración sin dependencia de la infraestructura del proveedor ni conectividad saliente a servicios externos.
Arquitectura de seguridad
La arquitectura Secret Key de 1Password requiere una clave de 128 bits codificada como una cadena de 34 caracteres generada en la configuración del dispositivo, combinada con la contraseña maestra, para derivar la clave de cifrado. Incluso si los servidores de 1Password fueran comprometidos, las bóvedas cifradas serían computacionalmente inviables de descifrar sin la Secret Key. Es un modelo de seguridad en la nube bien diseñado.
Passwork utiliza cifrado de conocimiento cero del lado del cliente en una instancia autoalojada. El cifrado y descifrado ocurren en el cliente (dispositivo del usuario). El servidor almacena solo texto cifrado. Dado que usted aloja la plataforma, mantiene control completo sobre el servidor de aplicaciones, las claves de cifrado y los registros de auditoría. Este despliegue garantiza un entorno aislado, libre de infraestructura compartida, riesgos de multitenencia o dependencia de la gestión de claves del proveedor.
Administración empresarial: RBAC, AD/LDAP y SSO
Ambas plataformas cubren las funcionalidades de administración empresarial que los equipos de TI esperan.
1Password Business incluye aprovisionamiento SCIM, integración SSO vía Okta y Azure AD, y una consola de administración madura. Su producto Extended Access Management (disponible como complemento con licencia separada) extiende la confianza de dispositivos y los controles de acceso a aplicaciones más allá de la propia bóveda de contraseñas.
Passwork proporciona control de acceso basado en roles (RBAC) granular, integración nativa con Active Directory y LDAP para aprovisionamiento de usuarios y sincronización de grupos, y SSO SAML. Para simplificar la gestión a escala, Passwork separa el acceso a datos de los privilegios administrativos mediante dos mecanismos distintos:
- Los grupos de usuarios controlan el acceso a datos — Los administradores asignan permisos a bóvedas y carpetas a nivel de grupo. Cuando los usuarios se añaden a un grupo, heredan automáticamente el acceso a las contraseñas y credenciales correspondientes.
- Los roles definen privilegios del sistema — Los roles predefinidos y personalizados gestionan el acceso a la configuración del sistema, directorios de usuarios y registros de auditoría. Esto asegura que los usuarios estándar solo interactúen con sus bóvedas asignadas, mientras que los administradores gestionan la infraestructura sin tener acceso a las contraseñas reales bajo el modelo de conocimiento cero.
Para organizaciones que ejecutan infraestructura de identidad basada en AD (la mayoría de las empresas europeas), la integración LDAP significa que la incorporación y baja de usuarios se ejecuta a través de los flujos de trabajo de directorio existentes. Los grupos de seguridad se sincronizan automáticamente, asegurando que los permisos de bóveda y los roles administrativos permanezcan alineados con su directorio central.
Una diferencia práctica que vale la pena mencionar: debido a que Passwork es autoalojado, la consola de administración, los registros de auditoría y el directorio de usuarios residen dentro de su propio perímetro de red. Las operaciones administrativas no tienen dependencia del SLA de disponibilidad de un proveedor.
| Funcionalidad | Passwork | 1Password Business |
|---|---|---|
| SSO | SAML 2.0 SSO | SAML 2.0 / OIDC (Unlock with SSO) |
| Aprovisionamiento de usuarios | Integración nativa AD/LDAP | Aprovisionamiento SCIM (requiere desplegar un SCIM Bridge autoalojado) |
| Sincronización de grupos | Sincronización directa de grupos AD / LDAP | Sincronización vía SCIM Bridge |
| Control de acceso | RBAC granular (permisos a nivel de bóveda, carpeta y elemento) | Permisos basados en roles (acceso a nivel de bóveda y grupo) |
| Confianza de dispositivos / controles de acceso a apps | — | Extended Access Management (complemento, licencia separada) |
| Ubicación de la consola de administración | Dentro de su propio perímetro de red | Nube del proveedor |
| Ubicación de registros de auditoría | Base de datos local (dentro de su perímetro) | Nube del proveedor |
| Dependencia de disponibilidad del proveedor | Ninguna (totalmente operativo sin conexión) | Sí (requiere conexión a la nube de 1Password) |
DevOps y gestión de secretos
1Password ha invertido fuertemente en herramientas para desarrolladores. Su CLI (op), Secrets Automation e integraciones nativas con GitHub Actions, Kubernetes y pipelines CI/CD lo convierten en un gestor de secretos capaz para equipos cloud-native. La experiencia de desarrollador está pulida.
Passwork ofrece una API REST completa y herramientas CLI para flujos de trabajo DevOps: inyectar secretos en pipelines, rotar credenciales programáticamente, gestionar claves API y credenciales de bases de datos junto con contraseñas humanas en una bóveda unificada.
Para equipos que operan en entornos aislados o estrictamente controlados por perímetro, la diferencia arquitectónica importa. 1Password ofrece un Connect Server autoalojado que almacena secretos en caché localmente y reduce la dependencia de la API de 1Password, pero la configuración inicial y la sincronización periódica todavía requieren conectividad saliente a la infraestructura en la nube de 1Password.
Passwork no requiere tal dependencia en ninguna etapa: toda la pila se ejecuta dentro del propio perímetro de la empresa desde el primer día, sin llamadas a servicios externos. Para organizaciones donde el tráfico saliente a la nube de un proveedor no está permitido por política o arquitectura, esa distinción es un requisito indispensable.
| Funcionalidad | Passwork | 1Password Business |
|---|---|---|
| CLI | Sí | Sí (op) |
| REST API | Sí | Sí |
| Automatización de secretos | Sí | Sí |
| Integraciones CI/CD | Sí | Sí |
| Bóveda unificada (contraseñas + secretos) | Sí | Sí |
| Caché de secretos autoalojada | Sí (despliegue completamente autoalojado) | Connect Server (complemento) |
| Conectividad saliente a la nube del proveedor | Nunca requerida | Requerida para configuración inicial y sincronización periódica |
| Soporte para entornos aislados | Completo | Parcial |
Preparación para el futuro: NIS2 y el mandato post-cuántico de 2027
NIS2 añadió una cláusula que los proveedores preferirían que no notara
El Artículo 21 de NIS2 coloca la seguridad de sus proveedores de servicios TIC en su registro de riesgos. No en el de ellos — en el suyo. Un gestor de contraseñas basado en la nube es un proveedor de servicios TIC. Bajo NIS2, su organización es responsable de evaluar si la postura de seguridad de ese proveedor — incluyendo su jurisdicción legal y obligaciones de respuesta a incidentes — cumple con su umbral de riesgo.
Si una brecha en su proveedor de gestor de contraseñas expone sus credenciales, las obligaciones de notificación de incidentes de NIS2 pueden activarse de su lado: notificación inicial en 24 horas, informe detallado en 72 horas.
Desplegar una solución autoalojada modifica ese perfil de riesgo. La superficie de ataque es su infraestructura, gobernada por sus controles de seguridad, auditada por su equipo. Las evaluaciones de riesgo de la cadena de suministro de NIS2 se simplifican sustancialmente cuando la «cadena de suministro» para el almacenamiento de credenciales es interna.
El mandato de seguridad cuántica de ANSSI para 2027
La agencia nacional de ciberseguridad de Francia, ANSSI, anunció que dejará de certificar productos de seguridad (incluidos los gestores de contraseñas) que carezcan de cifrado resistente a la computación cuántica a partir de 2027. Para 2030, ANSSI espera que todas las adquisiciones empresariales requieran criptografía segura ante amenazas cuánticas. Para organizaciones en Francia y en toda la UE, esto crea un plazo de certificación firme en los próximos 12-18 meses.
La pregunta relevante para los equipos de adquisiciones no es solo si un proveedor soporta PQC, sino si la organización controla cuándo y cómo ocurre esa transición.
Con un gestor de contraseñas basado en la nube, la migración de la capa de cifrado de la bóveda ocurre según el calendario del proveedor, a través de infraestructura compartida. Con un despliegue autoalojado, su organización aplica actualizaciones criptográficas (incluidos los algoritmos PQC estandarizados por NIST) en su propio calendario, sin dependencia del ciclo de lanzamiento de un proveedor.
Precios y coste total de propiedad
Precios principales
1Password Business tiene un precio de 7,99 $ por usuario al mes (facturado anualmente). El plan Teams está en 4,99 $/usuario/mes. Los precios Enterprise requieren una cotización personalizada.
Los precios de Passwork están estructurados para compradores europeos:
| Plan | Precio | Incluye |
|---|---|---|
| Licencia estándar | 3 €/usuario/mes | Bóveda principal, RBAC, AD/LDAP |
| Licencia avanzada | 4,5 €/usuario/mes | Acceso API, auditoría avanzada, SSO |
| Enterprise | Personalizado | En las instalaciones, soporte dedicado, SLA |
Con 100 usuarios, Passwork licencia estándar cuesta 3.600 €/año frente a 1Password Business con aproximadamente 9.588 $/año. La diferencia aumenta a mayor escala.
TCO más allá de la tarifa de licencia
El despliegue en las instalaciones requiere infraestructura de servidores, mantenimiento y gastos operativos internos. Para organizaciones que ya ejecutan infraestructura en sus instalaciones (la mayoría de las empresas europeas en sectores regulados), el coste marginal de añadir una instancia autoalojada de Passwork es bajo. Para organizaciones sin presencia en instalaciones propias, los gastos de infraestructura son una consideración real y deben evaluarse honestamente antes de firmar.
El cálculo del TCO también necesita incluir el riesgo de cumplimiento. Una brecha que involucre un almacén de credenciales basado en la nube puede activar multas del Artículo 83 del RGPD de hasta 10 millones de euros o el 2% de la facturación anual global por violaciones de los requisitos de seguridad del Artículo 32. Las multas del RGPD han superado acumulativamente los 6.310 millones de euros para 2026. El caso Ambrosetti (85.000 € por contraseñas con hash MD5) ilustra que las autoridades de protección de datos ahora auditan la implementación criptográfica directamente, no solo los plazos de notificación de brechas.
Veredicto: Qué gestor de contraseñas se adapta a una organización con sede en la UE
Elegir un gestor de contraseñas para uso empresarial se reduce a la pregunta: ¿dónde termina su perímetro de cumplimiento? Los equipos cloud-native con pilas de identidad modernas encontrarán un ajuste natural en las integraciones profundas del ecosistema y la experiencia de usuario multiplataforma. Las organizaciones que operan bajo RGPD, NIS2 o DORA enfrentan una restricción diferente — no la usabilidad, sino la jurisdicción.
Elija 1Password Business si:
- Su equipo está distribuido globalmente y es cloud-native.
- Prioriza la experiencia de desarrollador y la UX multiplataforma sobre la arquitectura de cumplimiento.
- Su entorno regulatorio no requiere soberanía de datos estricta.
- Necesita Extended Access Management o integración profunda con una pila de identidad en la nube moderna.
Elija Passwork si:
- Su organización está sujeta al RGPD, NIS2 o DORA y necesita demostrar soberanía de datos.
- Opera en infraestructura crítica, servicios financieros, sanidad o sector público.
- Necesita integración nativa AD/LDAP dentro de un entorno de identidad existente en sus instalaciones.
- Se está preparando para la certificación ANSSI o adquisiciones del sector público de la UE.
- Su equipo de seguridad necesita control total sobre la capa de cifrado, los registros de auditoría y la gestión de claves.
Para empresas europeas en sectores regulados, la arquitectura que responde «sí» a los cinco criterios es autoalojada, en las instalaciones y jurisdiccionalmente limpia.
Passwork ofrece a los equipos de TI europeos una bóveda de credenciales autoalojada, preparada para el RGPD, con registro de auditoría completo, integración AD/LDAP y cifrado de conocimiento cero — todo dentro de su propia infraestructura. Solicite una demostración o explore la guía de despliegue autoalojado — passwork.pro
Preguntas frecuentes
¿Cuál es la diferencia entre Passwork y 1Password?
La diferencia principal es el modelo de despliegue y la jurisdicción. 1Password es un producto SaaS basado en la nube con residencia de datos opcional en la UE, con sede en Canadá. Passwork es un gestor de contraseñas empresarial autoalojado que se ejecuta en su propia infraestructura, otorgando a su organización control legal y técnico completo sobre los datos de credenciales. Passwork también ofrece una opción en la nube, pero su valor principal para las empresas europeas es el despliegue en las instalaciones.
¿Cumple 1Password con el RGPD?
1Password ofrece residencia de datos en la UE: los datos de la bóveda pueden almacenarse en servidores dentro de la UE. Sin embargo, como empresa con sede en Canadá, permanece sujeta a la ley canadiense y a la potencial cooperación con las autoridades estadounidenses. El Artículo 48 del RGPD no reconoce una orden judicial extranjera como base legal para una transferencia, pero esa restricción se aplica a su organización como responsable del tratamiento de datos — no al proveedor que recibe la orden.
¿Cuál es el mejor gestor de contraseñas europeo para el cumplimiento de NIS2?
El Artículo 21 de NIS2 requiere que las organizaciones cubiertas gestionen el riesgo TIC de la cadena de suministro. Un gestor de contraseñas autoalojado elimina por completo el riesgo de proveedores terceros para el almacenamiento de credenciales. Para entidades cubiertas por NIS2, el despliegue en las instalaciones con registro de auditoría completo e integración AD/LDAP es la elección arquitectónicamente defendible. Passwork está construido específicamente para ese requisito.
¿Qué es la soberanía de datos y por qué importa para los gestores de contraseñas?
La soberanía de datos significa que sus datos están sujetos exclusivamente a las leyes de su jurisdicción — no solo físicamente ubicados allí. Para un gestor de contraseñas, significa que ningún gobierno extranjero puede obligar al proveedor a entregar el contenido de su bóveda. El despliegue autoalojado logra esto porque ningún proveedor externo tiene sus datos. El despliegue en la nube con residencia de datos en la UE logra el cumplimiento de ubicación física pero no la soberanía legal completa.
¿Cómo afecta el mandato ANSSI 2027 a la adquisición de gestores de contraseñas?
A partir de 2027, ANSSI no certificará productos de seguridad que carezcan de cifrado resistente a la computación cuántica. Las organizaciones que adquieran para contratos del gobierno francés o sectores regulados necesitarán proveedores con una hoja de ruta creíble de criptografía post-cuántica. Para 2030, ANSSI espera que todas las compras empresariales requieran criptografía segura ante amenazas cuánticas — afectando a cualquier organización europea que use la certificación ANSSI como referencia de adquisiciones.
¿Tiene Passwork certificación ISO 27001?
Sí, Passwork cuenta con la certificación ISO 27001. La arquitectura es de conocimiento cero: AES-256, cifrado del lado del cliente, solo texto cifrado en el servidor. Las claves no tocan el servidor. Para especificaciones de despliegue y detalles de certificación, consulte passwork.pro.
Tabla de contenidos
- Puntos clave
- El campo de batalla del cumplimiento: Residencia de datos vs. soberanía de datos
- Comparativa de funcionalidades: Passwork vs 1Password
- Preparación para el futuro: NIS2 y el mandato post-cuántico de 2027
- Precios y coste total de propiedad
- Veredicto: Qué gestor de contraseñas se adapta a una organización con sede en la UE
- Preguntas frecuentes
Tabla de contenidos
- Puntos clave
- El campo de batalla del cumplimiento: Residencia de datos vs. soberanía de datos
- Comparativa de funcionalidades: Passwork vs 1Password
- Preparación para el futuro: NIS2 y el mandato post-cuántico de 2027
- Precios y coste total de propiedad
- Veredicto: Qué gestor de contraseñas se adapta a una organización con sede en la UE
- Preguntas frecuentes
Gestor de contraseñas autohospedado para su empresa
Passwork ofrece la ventaja de un trabajo en equipo eficaz con contraseñas corporativas en un entorno totalmente seguro
Más información